iptables + ssh + перенаправление порта

[junior10]

Доброго времени суток!

eth0 - сеть, 192.168.0.0/24
eth1 - используется для инета, соединение pppoe
ppp0 - поднятое соединение со статическим ип

Нужно открыть снаружи 22 порт для управления сервером с любого места и клиенту на конкретный ип адрес пробросить порт, например 8008 на ид 192.168.0.100 (при этом другие клиенты локальной сети должны иметь доступ к 192.168.0.100:8008)

Подскажите, каким образом и в каком месте копать:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
# squid server IP
SQUID_SERVER="192.168.0.88"
# Interface connected to Internet
INTERNET="ppp0"
# Interface connected to LAN
LAN_IN="eth0"
# Squid port
SQUID_PORT="3128"
# DO NOT MODIFY BELOW
# Clean old firewall
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Load IPTABLES modules for NAT and IP conntrack support
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# For win xp ftp client
#modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
# Setting default filter policy
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# Unlimited access to loop back
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Allow UDP, DNS and Passive FTP
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -I INPUT 6 -p tcp -m multiport --dport 22 --syn -m conntrack --ctstate NEW -j ACCEPT

# set this system as a router for Rest of LAN
iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERAD
E
iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT
# unlimited access to LAN
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A OUTPUT -o $LAN_IN -j ACCEPT

#
iptables -A FORWARD -m state RELATED,ESTABLISHED -j ACCEPT
# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka
transparent proxy
iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
# if it is same system
iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT
# DROP everything and Log it
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP

Заранее благодарен

[ArcFi]

Код: [Выделить]

ip a ; ip r ; sudo iptables-save

[junior10]

(Нажмите, чтобы показать/скрыть)

root@lwf2:/etc/squid3# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNO
WN qlen 1000
    link/ether 00:30:4f:2b:58:67 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::230:4fff:fe2b:5867/64 scope link
       valid_lft forever preferred_lft forever
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP ql
en 1000
    link/ether 00:25:22:75:e8:38 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.88/24 brd 192.168.0.255 scope global eth0
    inet6 fe80::225:22ff:fe75:e838/64 scope link
       valid_lft forever preferred_lft forever
4: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast sta
te UNKNOWN qlen 3
    link/ppp
    inet 193.200.32.191 peer 193.200.32.2/32 scope global ppp0

(Нажмите, чтобы показать/скрыть)

root@lwf2:/etc/squid3# ip r
default dev ppp0  scope link
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.88
193.200.32.2 dev ppp0  proto kernel  scope link  src 193.200.32.191

(Нажмите, чтобы показать/скрыть)

root@lwf2:/etc/squid3# iptables-save
# Generated by iptables-save v1.4.12 on Fri Jul 26 11:41:11 2013
*mangle
:PREROUTING ACCEPT [4897468:4134616385]
:INPUT ACCEPT [3193417:2943710334]
:FORWARD ACCEPT [1699136:1189515248]
:OUTPUT ACCEPT [3811949:3129356384]
:POSTROUTING ACCEPT [5511085:4318871632]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65
495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Jul 26 11:41:11 2013
# Generated by iptables-save v1.4.12 on Fri Jul 26 11:41:11 2013
*nat
:PREROUTING ACCEPT [95455:10509212]
:INPUT ACCEPT [34679:2184461]
:OUTPUT ACCEPT [34323:2268381]
:POSTROUTING ACCEPT [2286:144961]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.
0.88:3128
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Jul 26 11:41:11 2013
# Generated by iptables-save v1.4.12 on Fri Jul 26 11:41:11 2013
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [822717:512947612]
:OUTPUT ACCEPT [1435227:103132308]
-A INPUT -i lo -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -i eth0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
COMMIT
# Completed on Fri Jul 26 11:41:11 2013

[ArcFi]

-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65
495 -j TCPMSS --clamp-mss-to-pmtu

А верхний предел MTU откуда такой?

-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

У вас подключения из инета заворачиваются на прозрачную проксю, а нужно из локалки:

Код: [Выделить]

! -i ppp0

Нужно открыть снаружи 22 порт для управления сервером с любого места и клиенту на конкретный ип адрес пробросить порт, например 8008 на ид

Это правило вообще не срабатывает.
Выполняйте руками из терминала, смотрите, на что ругается, проверяйте sudo iptables-save.

[fisher74]

Код: [Выделить]

sudo iptables -I INPUT 5 -p tcp --dport 22 -j ACCEPT
sudo iptables -A PREROUTING -i ppp+ -p tcp --dport 8008 -j DNAT 192.168.0.100
ну и корректировочка небольшая, если вдруг параноя встрепенётся и захочет -P DROP  в цепочке FORWARD

Код: [Выделить]

sudo iptables -A FORWARD -ppp+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -p tcp --dport 8008 -d 192.168.0.100 -j ACCEPT
Кстати, а Вы уверены в том, что именно делает правило
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
?

ЗЫ. С праздником, друзья

[junior10]

Кстати, а Вы уверены в том, что именно делает правило
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
?
- не уверен, убрать?

sudo iptables -A PREROUTING -i ppp+ -p tcp --dport 8008 -j DNAT 192.168.0.100
выдает:
Bad argument `192.168.0.100'

а для гугла не 80 порт разве нужен? а то он както через раз работает...
Пользователь решил продолжить мысль 26 Июля 2013, 13:30:29:    A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

У вас подключения из инета заворачиваются на прозрачную проксю, а нужно из локалки:
Код: [Выделить]

! -i ppp0


Это правило заменить или добавить к нему новое?

[ArcFi]

sudo iptables -A PREROUTING -i ppp+ -p tcp --dport 8008 -j DNAT 192.168.0.100
выдает:
Bad argument `192.168.0.100'

Куда задевали "--to-destination"?

Это правило заменить или добавить к нему новое?

Заменить.

[junior10]

root@lwf2:/etc/squid3#  iptables -A PREROUTING -i ppp+ -p tcp --dport 8008 -j DN
AT --to-destination 192.168.0.100

iptables: No chain/target/match by that name.

[fisher74]

Куда задевали "--to-destination"?

Моя вина. Профукал
А заодно таклицу забыл указать... шалунишка

Код: [Выделить]

sudo iptables -t nat-A PREROUTING -i ppp+ -p tcp --dport 8008 -j DNAT --to-destination 192.168.0.100

[junior10]

root@lwf2:/home/junior# iptables -t nat-A PREROUTING -i ppp+ -p tcp --dport 8008
 -j DNAT --to-destination 192.168.0.100

Bad argument `PREROUTING'

А с гуглом подскажете? почему он перестал работать
Пользователь решил продолжить мысль 26 Июля 2013, 13:49:18:ArcFi,

  A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

таким образом?
Пользователь решил продолжить мысль 26 Июля 2013, 14:04:36:iptables -t nat-A PREROUTING -i ppp+ -p tcp --dport 8008 -j DNAT --to-destination 192.168.0.100

здесь ppp+  - так и оставлять или заменить на ppp0?

[fisher74]

Да ну что Вы тупо копируете и даже чуть-чуть думать не хотите. Ну соскочил пробел между nat и -A

[junior10]

простите, с этим разобрался.. насчет гугла есть идеи?
Пользователь решил продолжить мысль 26 Июля 2013, 14:21:52:все работает, гугл не открывается

[ArcFi]

junior10, вы неверно поняли, для прокси интерфейс убирать не нужно, просто перед ним надо дописать "!", либо заменить на внутренние интерфейсы.

[fisher74]

А с гуглом подскажете? почему он перестал работать

Вам намекали про --mss 1400:65495
Хотя возможно это и не ответ на заданный вопрос.
Покажите новый список правил (iptables-save)

[junior10]

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Fri Jul 26 13:51:12 2013
*mangle
:PREROUTING ACCEPT [498798:407996942]
:INPUT ACCEPT [142566:134435533]
:FORWARD ACCEPT [355807:273465850]
:OUTPUT ACCEPT [169649:138680258]
:POSTROUTING ACCEPT [525456:412146108]
COMMIT
# Completed on Fri Jul 26 13:51:12 2013
# Generated by iptables-save v1.4.12 on Fri Jul 26 13:51:12 2013
*nat
:PREROUTING ACCEPT [5982:550226]
:INPUT ACCEPT [2205:145315]
:OUTPUT ACCEPT [2039:137553]
:POSTROUTING ACCEPT [30:6372]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.
0.88:3128
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Jul 26 13:51:12 2013
# Generated by iptables-save v1.4.12 on Fri Jul 26 13:51:12 2013
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [139290:15042737]
:OUTPUT ACCEPT [66425:6844488]
-A INPUT -i lo -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -i eth0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
COMMIT
# Completed on Fri Jul 26 13:51:12 2013

Совсем я запутался где что менять и что добавлять в какую секцию. у меня есть файл, который запускается при старте,
вот его вид:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
# squid server IP
SQUID_SERVER="192.168.0.88"
# Interface connected to Internet
INTERNET="ppp0"
# Interface connected to LAN
LAN_IN="eth0"
# Squid port
SQUID_PORT="3128"
# DO NOT MODIFY BELOW
# Clean old firewall
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Load IPTABLES modules for NAT and IP conntrack support
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# For win xp ftp client
#modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
# Setting default filter policy
iptables -P OUTPUT ACCEPT
# Unlimited access to loop back
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Allow UDP, DNS and Passive FTP
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT

# set this system as a router for Rest of LAN
iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERAD
E
iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT
# unlimited access to LAN
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A OUTPUT -o $LAN_IN -j ACCEPT

#
#iptables -A FORWARD -m state RELATED,ESTABLISHED -j ACCEPT
# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka
#transparent proxy
iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $SQUID_S
ERVER:$SQUID_PORT
# if it is same system
iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-po
rt $SQUID_PORT
# DROP everything and Log it
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP

Пользователь решил продолжить мысль 26 Июля 2013, 14:59:10:и порты для почтовых клиентов тоже нужно открывать отдельно?